Posté le mai 15, 2023 à 7:34

TOYOTA DIVULGUE UNE VIOLATION DE DONNÉES QUI A EXPOSÉ LES DONNÉES DE LOCALISATION DES VOITURES ET DES ENREGISTREMENTS VIDÉO

Toyota Motor Corporation a révélé une violation de données dans ses systèmes. Le constructeur automobile a confirmé que la faille s’est produite dans son environnement cloud et qu’elle a exposé des données de localisation de voitures appartenant à plus de 2 millions de clients. La violation a duré dix ans, les hackers ayant pu exfiltrer des informations du constructeur automobile.

Toyota révèle une violation de données qui a exposé les données de localisation des voitures

La violation en question s’est produite entre le 6 novembre 2013 et le 17 avril 2023. Pendant une décennie, des hackers ont infiltré le réseau cloud de l’entreprise et ont accédé aux données de localisation des voitures appartenant à 2 150 000 clients.

Toyota a publié un avis de sécurité sur la violation, indiquant que celle-ci a été causée par une mauvaise configuration de la base de données qui a permis à n’importe qui d’accéder au contenu sans avoir besoin d’un mot de passe. Les clients concernés se sont ainsi retrouvés dans une situation où les données de localisation de leur voiture ont pu être suivies par des personnes mal intentionnées.

L’avis indique qu' »il a été découvert qu’une partie des données dont Toyota Motor Corporation avait confié la gestion à Toyota Connected Corporation avait été rendue publique en raison d’une mauvaise configuration de l’environnement cloud ».

Les données sont restées exposées pendant une décennie. Cependant, l’entreprise a déclaré qu’après avoir détecté le problème, elle a pris des mesures pour s’assurer qu’il n’y avait plus d’accès aux informations par des parties externes. L’entreprise a également ajouté qu’elle menait toujours des enquêtes sur la question, y compris sur les environnements en nuage gérés par la Toyota Corporation.

Le constructeur automobile a par ailleurs présenté ses excuses aux utilisateurs concernés « pour avoir causé un grand désagrément ». Selon l’entreprise, l’affaire a suscité beaucoup d’inquiétude de la part de ses clients et d’autres parties prenantes.

La violation de données a exposé des données de localisation de voiture et des vidéos

Cet incident de violation de données a exposé les informations appartenant aux clients qui ont précédemment utilisé les services T-Connect G-Link Lite ou G-BOOK de l’entreprise. La violation a exposé les personnes qui ont utilisé ces services entre le 2 janvier 2012 et le 17 avril 2023.

T-Connect est une fonction intelligente des véhicules Toyota. Ce service intelligent embarqué est utilisé pour un large éventail de fonctions, notamment l’assistance vocale, le service clientèle, l’état et la gestion de la voiture et l’aide d’urgence sur la route. La faille a entraîné la divulgation d’un large éventail d’informations introduites dans ce système.

Les personnes qui ont obtenu un accès non autorisé à la base de données mal configurée ont pu consulter toute une série d’informations sur un véhicule Toyota, notamment le numéro de châssis, le numéro d’identification du terminal de navigation GPS embarqué et les informations relatives à la localisation du véhicule, y compris les données temporelles.

Rien ne prouve que les données volées soient tombées entre les mains d’acteurs malveillants ou qu’elles aient été utilisées à des fins malveillantes. Toutefois, il s’agit d’une violation importante, étant donné qu’un utilisateur non autorisé aurait pu avoir accès aux données historiques et même à la localisation en temps réel de plus de deux millions de véhicules Toyota.

Bien que la violation soit en soi importante et qu’elle puisse causer des dommages considérables, il est important de noter que les détails exposés ne constituent pas des informations personnelles identifiables. Il ne serait donc pas possible d’utiliser ces données dans le cadre d’une fuite pour pister des individus. La seule probabilité que ces informations soient exploitées est que l’attaquant ait également accès au numéro d’identification du véhicule (VIN) de la cible.

Le numéro d’identification d’un véhicule, aussi appelé numéro de châssis, est facilement accessible. Par conséquent, tout acteur de la menace suffisamment motivé et ayant un accès physique à la voiture de la cible peut avoir accédé à ce numéro. Un tel acteur aurait pu exploiter la violation de données à des fins de localisation.

La plateforme Toyota Connected a en outre publié une autre déclaration indiquant qu’il était probable que des enregistrements vidéo réalisés à l’extérieur du véhicule aient été exposés lors de l’incident. La période d’exposition des enregistrements est d’environ sept ans, entre le 14 novembre 2016 et le 4 avril 2023.

Toutefois, l’exposition de la vidéo ne représentait pas un risque important pour la vie privée du propriétaire de la voiture, mais elle dépendait des conditions, du lieu et de l’heure. Toyota a déclaré qu’elle enverrait des messages d’excuse aux clients concernés et qu’elle mettrait à leur disposition une ligne d’assistance dédiée pour répondre à leurs questions.

Ce n’est pas la première fois que Toyota signale une violation de données. En octobre de l’année dernière, le constructeur automobile a informé ses clients d’une autre violation qui a conduit à l’exposition d’une clé d’accès à la base de données des clients T-Connect sur le dépôt public GitHub. La violation a permis un accès non autorisé aux données de 296 019 clients entre décembre 2017 et le 15 septembre 2022.